Реєстрація на конференцію
Частина 1. Встановлення та налаштування
Вже давно системні адміністратори відчувають необхідність в засобі, яке, завдяки автоматичному розгортання програм корекції для системи безпеки на всіх комп'ютерах мережі, дозволяло б підтримувати захист мережі на максимально високому рівні. Правда, кілька років тому корпорація Microsoft випустила програму Windows Update, але цей інструмент призначений лише для приватних користувачів і невеликих організацій, бо ні механізмів управління використанням пропускної спроможності, ні коштів, що забезпечують тестування і санкціонування застосування нових виправлень, в ньому не передбачено.
І ось недавно Microsoft випустила пакет Software Update Services (SUS), один з перших продуктів, підготовлених в рамках стратегічної програми Strategic Technology Protection Program (STPP). Тут вже, звичайно, розробникам треба віддати належне: SUS заповнила зяючу пролом в системі засобів управління і захисту сімейства Windows. У пропонованій статті я розповім про те, як функціонує служба SUS і як встановлюються і налаштовуються різні її компоненти. У другій частині статті мова піде про більш складних конфігураціях SUS, які передбачають, скажімо, можливість відстеження процедур установки програм корекції, регулювання потреб в ширині смуги пропускання і обліку потенціалу для масштабування.
Служба SUS недосконала, їй властиві деякі обмеження:
Служба SUS складається з трьох компонентів: компонент SUS, що виконується на сервері; компонент Automatic Updates (AU), що виконується на клієнтських комп'ютерах; настройки групових політик Group Policy, що дозволяють управляти клієнтами AU через службу AD. Сервер SUS, по суті, являє собою Web-вузол на базі IIS. Адміністратори використовують Web-сторінки для управління і моніторингу служб SUS, AU-клієнти за допомогою Web-сторінок здійснюють завантаження модулів. Microsoft розміщує ці модулі на своїх серверах Windows Update. Одна зі служб SUS, іменована Windows Update Synchronization Service, періодично синхронізує вміст сервера SUS і серверів Microsoft Windows Update.
Сервер SUS можна налаштувати таким чином, щоб він завантажував і встановлював модулі на всіх зазначених мовах. Інший варіант - залишити оновлювані модулі на серверах Windows Update; в цьому випадку їх завантаженням і установкою будуть займатися клієнти AU. Але при будь-якій обраній конфігурації перед тим, як приступити до завантаження та встановлення модулів, пакет SUS перевірятиме їх на відповідність відкритого сертифікату Microsoft. Це запобіжний засіб на випадок спроб впровадити руйнівний код в комп'ютери мережі по каналах SUS.
У багатьох програмах процедури завантаження та установки модулів реалізовані як єдина операція; однак пакет SUS розглядає їх як два самостійних процесу. Уявімо собі таку ситуацію. Нехай потрібно, щоб завантаженням і установкою модулів корекції займалися клієнти AU. Клієнт AU періодично справляється на сервері SUS про наявність нових призначених для розгортання модулів. Відшукавши підлягає завантаженні модуль, клієнт починає процес завантаження з підключення до відповідного серверу Windows Update. Так ось, в залежності від заданих адміністратором налаштувань клієнт AU може автоматично завантажити модуль з сервера Windows Update або сповістити користувача про те, що модуль готовий до завантаження. В останньому випадку клієнт AU чекатиме ініціалізації процесу завантаження користувачем.
Процес установки починається після того, як клієнт AU завантажить модуль в папку тимчасового зберігання. Клієнт перевіряє задані адміністратором параметри, що визначають час установки модуля. Клієнт AU можна налаштувати таким чином, щоб він автоматично встановлював модулі відповідно до заздалегідь складеним графіком, а можна доручити йому повідомляти користувача про наявність модулів для установки і чекати ініціалізації процесу розгортання користувачем. При необхідності клієнт AU по завершенні установки модулів здійснює повторний запуск комп'ютера. Якщо в цей час в системі зареєстрований користувач, клієнт AU дає йому 5 хв на те, щоб зберегти дані, закрити всі програми і завершити сеанс. Потім клієнт перезапускає комп'ютер. При цьому він використовує інструментальний засіб Qchain, так що перезапускати машину доводиться тільки один раз, навіть якщо було встановлено декілька модулів корекції.
Установка служби SUS
Ну що ж, розібравшись з основними принципами функціонування пакета SUS, ми можемо познайомитися з нескладної процедурою установки SUS в домені AD. Для установки SUS необхідний сервер, на якому ці служби будуть виконуватися. Контролери доменів AD (domain controllers, DCs) і комп'ютери, що функціонують під управлінням Small Business Server (SBS), не можуть використовуватися в якості серверів SUS.
В процесі установки пакет SUS запускає засіб IIS Lockdown Tool, яке забезпечує захист IIS на сервері SUS. Таким чином хакеру, що зумів зламати сервер SUS, закривається доступ до клієнтів AU. IIS Lockdown Tool відключає функції, які становлять загрозу для безпеки системи; інакше кажучи, він може перервати виконання існуючих додатків для Web. Якщо на сервері SUS розміщуються інші Web-додатки і ці додатки використовують у своїй роботі такі компоненти, як WWW Distributed Authoring and Versioning (WebDAV), Microsoft FrontPage Server Extensions або FTP, можуть виникнути проблеми. Можливо, вдасться налагодити «мирне співіснування» служб SUS з цими додатками, але не виключено, що після установки SUS доведеться знову активізувати деякі функції. Повний опис змін, внесених службами SUS в IIS, можна знайти в додатку A до «Білої книги» «Deploying Microsoft Software Update Services».
Нарешті, майстер відобразить сторінку Finish і представить URL Web-сторінки адміністративного управління пакетом SUS. Потрібно записати і цей покажчик. Надалі він знадобиться для управління сервером SUS.
Налаштування сервера SUS
Наступний етап - налаштування сервера SUS. Ввівши відповідні параметри, адміністратор визначає, як і коли сервер SUS буде виконувати синхронізацію з серверами Windows Update і які модулі отримають санкцію на розгортання в мережі.
Налаштування сервера SUS можна виконувати з будь-якого комп'ютера мережі, на якому встановлений браузер IE 5.5 або більш пізньої версії. Слід запустити браузер IE і ввести в якості URL або ім'я з локальної intranet (наприклад, // server / SUSAdmin), або ім'я DNS (наприклад, server.acme.com/SUSAdmin). На екрані з'явиться сторінка вітання, зображена на Екрані 1. На лівій панелі цієї сторінки є кілька важливих посилань, в тому числі посилання Set options, Synchronize server і Approve updates.
Вибравши відповідні налаштування для п'яти згаданих розділів сторінки, слід зберегти їх, клацнувши Apply. Тепер можна складати графік синхронізації SUS і затверджувати список модулів, які передбачається розгорнути в мережі.
Екран 2. Налаштування розкладу.
В рамках нашого прикладу слід запропонувати SUS виконувати синхронізацію щодня о 1.00 ночі і натиснути OK. Тепер на сторінці Synchronize server вказується дата і час наступного запланованого сеансу синхронізації. Клацніть на кнопці Synchronize Now. SUS відображає назва системи, синхронізація з якої виконується, а також хід процесу синхронізації.
Щоб санкціонувати поширення одного або декількох модулів, потрібно виставити прапорець поруч з кожним відібраним модулем і клацнути Approve. На екрані з'явиться діалогове вікно із запитом про підтвердження; слід натиснути Yes. Потім SUS виведе діалогове вікно зі списком отримали «добро» модулів і запропонує прийняти умову ліцензійної угоди (EULA) за цими програмами. При деяких значеннях дозволу екрана і настройках браузера кнопки Accept і Don? T Accept можуть не вміститися в діалоговому вікні, якщо воно занадто мало для відображення всіх модулів. Можливість зміни розмірів даного вікна не передбачена. Але можна встановити курсор миші у вікні списку і натиснути на клавішу табуляції, тоді кнопки Accept і Don? T Accept з'являться на екрані. Необхідно клацнути на кнопці Accept, і вибрані модулі отримають санкцію на поширення серед клієнтів AU.
установка AU
Щоб комп'ютери мережі могли отримувати від сервера SUS оновлювану інформацію, потрібно буде встановити на них компонент Automatic Updates. Установку AU можна здійснювати двома способами:
Налаштування клієнтів AU
Варіанти 2 і 3 дозволяють локальному машини задавати час завантаження та встановлення модулів корекції. Коли адміністратор зареєстрований в системі і є доступні для завантаження або установки модулі, клієнт AU сповіщає адміністратора про це. Якщо адміністратор клацає на даному повідомленні, клієнт AU відкриває діалогове вікно, в якому користувач може клацанням миші дати одну з наступних команд: Remind Me Later або Install.
Вибравши варіант 4, можна буде налаштувати клієнт AU на автоматичну установку нових модулів в зазначений час щодня або раз на тиждень. Клієнти AU часто звертаються до сервера SUS з тим, щоб перевірити, чи не надійшли нові затверджені для поширення модулі корекції. Коли клієнт AU виявляє який нещодавно отримав санкцію модуль, придатний для установки на даній машині, він завантажує його в папку тимчасового зберігання, яка поповнюється або з сервера SUS, або з сервера Windows Update. Клієнт AU регулює параметри процесу завантаження (т. Е. Ширину виділеної йому смуги пропускання) так, щоб цей процес не уповільнював роботу мережі. Клієнти AU здатні виконувати завантаження модулів в режимі з перервами (які можуть бути пов'язані, наприклад, з повторною инициализацией системи). Після того як модулі поміщені в папку для тимчасового зберігання, клієнт AU переходить в режим очікування і при настанні часу, заданого для установки модулів, виконує цю операцію. Після завершення правила Configure Automatic Updates, слід натиснути OK.
secedit / refreshpolicy machine_policy
Після цього комп'ютер повинен почати завантаження всіх програм корекції, яким дали "добро". На машині Windows XP для отримання того ж результату потрібно виконати команду Gpupdate без вказівки параметрів.
Екран 4. Налаштування політики автоматичного оновлення.